ITセキュリティーの範囲は広く、多くの場合、デジタル・デバイス、コンピューター・ネットワーク、サーバー、データベース、ソフトウェア・アプリケーションの脆弱性に対処するために連動して機能する、テクノロジーとセキュリティー・ソリューションが含まれています。ITセキュリティーの例としてよく挙げられるのは、エンドポイント・セキュリティー、クラウド・セキュリティー、ネットワーク・セキュリティー、アプリケーション・セキュリティーなどのデジタル・セキュリティー領域です。ただし、ITセキュリティーには、データやIT資産を保管する建物、デバイスを保護するために必要な、鍵、IDカード、監視カメラなどの物理的なセキュリティ対策も含まれます。
ITセキュリティーは、厳密にはその一部であるサイバーセキュリティー混同されがちです。サイバーセキュリティーは、主にランサムウェア、マルウェア、フィッシング詐欺などのデジタル攻撃から組織を保護することに重点を置いたものです。その一方、ITセキュリティーは、ハードウェア・システム、ソフトウェアアプリケーション、ノートPCプやモバイル・デバイスなどのエンドポイントを含む組織の技術インフラストラクチャー全体、そのほかに企業のネットワークや物理およびクラウドベースのデータセンターなど、さまざまなコンポーネントが含まれます。
IBM® Securityが推奨するアクションを実行して、組織のサイバー・レジリエンスをコントロールしましょう。
サイバー攻撃やセキュリティー・インシデントは、ビジネスの損失、評判の低下、規制上の罰金、さらに場合によっては搾取や資産の盗難など、多大な損害をもたらす可能性があります。
IBMの「Cost of a Data Breach 2023」レポートでは、2022年3月から2023年3月までにデータ侵害に遭った550社以上の企業を対象に調査を実施しました。これらの企業のデータ侵害の平均コストは445万ドルで、前年の調査結果より2.3%増加し、2020年と比較すると15.3%も増加しています。このコストの要因としては、顧客、経営陣、規制当局への通知から規制上の罰金、ダウンタイム中の収益の損失、顧客の永久的な喪失までが含まれています。
一部のセキュリティー・インシデントは、他のインシデントよりもコストが高くなります。ランサムウェア攻撃は、組織のデータを暗号化してシステムを使用できないようにして、データのロックを解除するための復号化キーと引き換えに、高額な身代金の支払いを要求します。最近では、機密データを世間一般や他のサイバー犯罪者と共有しないことを条件に、2回目の身代金を要求するケースも増えています。「IBM Security Definitive Guide to Ransomware 2023」では、身代金の要求金額は7桁にも、8桁にも膨れ上がっており、最悪のケースでは8,000万米ドルにも達しています。
今、ITセキュリティーへの投資は増え続けています。Gartner社は、2023年には企業が情報セキュリティーとリスク管理のリソースとサービスに1,883億米ドルを費やすと予測しています。また、市場は今後も拡大し続け、2021年からの年平均成長率11%に続き、2026年には約2,620億米ドルに達すると予測しています。1
クラウド・セキュリティーは、組織のクラウドベースのインフラストラクチャー、アプリケーション、データに対する外部および内部のサイバー脅威に対処します。クラウド・セキュリティーは、責任共有モデルに基づいて運用されます。一般的には、クラウド・サービス・プロバイダー(CSP)は、クラウド・サービスを提供するインフラストラクチャーの安全性確保に責任を負い、顧客はそのインフラストラクチャー上で実行するあらゆるものの安全性確保に責任を負います。ただし、その共有責任のあり方は、クラウド・サービスによって異なります。
エンドポイント・セキュリティーは、エンドユーザーに加えて、デスクトップ、ノートPC、携帯電話、サーバーなどのエンドポイント・デバイスをサイバー攻撃から保護します。エンドポイント・セキュリティーは、エンドポイント・デバイスを使用して機密データやその他の資産にサイバー攻撃を仕掛けようとするサイバー犯罪者からもネットワークを保護します。
ネットワーク・セキュリティの主な目的は3つあります。ネットワーク・リソースへの不正アクセスを防止すること、サイバー攻撃やセキュリティ侵害をリアルタイムに検出して阻止すること、そして、許可されたユーザーが必要なときに必要なネットワーク・リソースに安全にアクセスできるようにすることです。
アプリケーション・セキュリティーは、潜在的な脆弱性に対処し、顧客データと自社のコードを盗難、漏洩、侵害から保護するために、開発者がアプリケーションを構築する際に講じる対策を指します。
インターネット・セキュリティーは、ブラウザーやアプリケーションによって送信、保存、または処理されるデータと機密情報を保護します。インターネット・セキュリティーには、インカミング・インターネット・トラフィックにマルウェアや悪意のあるコンテンツが含まれていないかどうか監視する、さまざまなセキュリティー手法とテクノロジーが含まれます。この領域のテクノロジーには、認証メカニズム、Webゲートウェイ、暗号化プロトコル、そしてファイアウォールが含まれます。
モノのインターネット(IoT)セキュリティーは、インターネットに接続されたセンサーやデバイス(ドアベル・カメラ、スマート家電、最新の自動車など)がハッカーによって制御されたり、ハッカーが組織のネットワークに侵入するために使用されないように保護することに重点を置いています。運用テクノロジー(OT)セキュリティは、企業内のプロセスを監視・制御するコネクテッド・デバイス(自動組立ラインのセンサーなど)に特に焦点を当てたものです。
すべての組織が、組織内外からのサイバー脅威の影響を受けやすくなっています。これらの脅威は、サイバー犯罪者のように意図的な場合や、悪意のあるリンクを誤ってクリックしたり、マルウェアをダウンロードしてしまった従業員や請負業者のように意図的でない場合があります。
ITセキュリティーは、このような広範なセキュリティー・リスクに対処し、さまざまな脅威アクターとその動機、戦術、スキルレベルの違いを考慮することを目的としている。
マルウェアは、感染したシステムを動作不能にし、データを破壊し、情報を盗難し、さらにはオペレーティング・システムにとって重要なファイルを消去する可能性がある、悪意のあるソフトウェアです。
よく知られているマルウェアには、次があります。
ランサムウェアはは、被害者のデータやデバイスをロックし、被害者が攻撃者に身代金を支払わない限り、ロックされたままになる、あるいはさらにロックを続けると脅すマルウェアです。「IBM Security X-Force Threat Intelligence Index 2023」によると、2022年のサイバー攻撃の17%がランサムウェア攻撃でした。
トロイの木馬は、有用なプログラムを装ったり、正規のソフトウェア内に隠れたりして、ユーザーを騙してダウンロードさせるマルウェアです。リモートアクセス型トロイの木馬(RAT)は、被害者のデバイスに秘密のバックドアを作成しますが、ドロッパー(トロイの木馬の一種)は、それ自体には不正コードは含まれないものの、あるタイミングでマルウェアをインストールします。
スパイウェアは、ユーザー名、パスワード、クレジットカード番号、その他の個人データなどの機密情報を密かに収集し、ハッカーに送信します。
ワームは自己複製するマルウェアであり、アプリケーションとデバイス間で自動的に拡散する可能性があります。
「ヒューマン・ハッキング」と呼ばれることが多いソーシャル エンジニアリングは、被害者を操作して、機密情報を漏洩したり、組織のセキュリティーを侵害したり、組織の財政的健全性を脅かしたりするような行動をとらせます。
フィッシングは、ソーシャル・エンジニアリング攻撃の中で最もよく知られており、最も広く浸透している攻撃です。フィッシング攻撃は、詐欺のEメール、テキストメッセージ、電話を通じて、個人データやアクセス認証情報を共有したり、マルウェアをダウンロードしたり、サイバー犯罪者に送金したり、サイバー犯罪にさらされる可能性のある行動を取るように仕向けます。特殊なフィッシングには、次のようなものがあります。
スピアフ・ィッシング:特定の個人を操作することを目的とした、高度に標的を絞った攻撃であり、多くの場合、被害者の公開ソーシャルメディア・プロフィールの詳細を使用して、策略をより説得力のあるものにします。
ホエール・フィッシング:企業幹部や富裕層を狙ったスピア・フィッシング攻撃です。
ビジネスメール詐欺(BEC):サイバー犯罪者が経営者やベンダー、信頼できるビジネス関係者を装い、被害者を騙して金銭を振り込ませたり、機密データを共有させたりする詐欺です。
ソーシャル・エンジニアリングのもう一つの手口であるテール・ゲーティングは、技術的な面では劣りますが、ITセキュリティーにとって脅威であることに変わりはありません。データセンターに物理的にアクセスできる個人(例えば、IDカードを持っている人物)を尾行(または「テーリング」)し、ドアが閉まる前に、文字通り背後に忍び込むものです。
DoS攻撃は、Web サイト、アプリケーションやシステムを膨大な不正トラフィックで圧倒します。正規ユーザーが使用するには遅すぎたり、全く使用できないようになります。分散型サービス拒否(DDoS)攻撃は、インターネットに接続され、マルウェアに感染したデバイスのネットワーク(いわゆる「ボットネット」)を利用して、標的となるアプリケーションやシステムを麻痺させたり、クラッシュさせたりします。
ゼロデイ・エクスプロイトは、コンピューターのソフトウェア、ハードウェア、ファームウェアに存在する未知の、あるいはまだ対処されていないセキュリティー上の欠陥を悪用した、サイバー攻撃の手法です。ゼロデイとは、悪意のある攻撃者がすでにその欠陥を利用して、脆弱なシステムにアクセス可能であるため、ソフトウェアやデバイスのベンダーがその欠陥を修正する時間が事実上ゼロであることを意味します。
内部脅威は、従業員、パートナー、その他ネットワークへのアクセスを許可されたユーザーによる脅威です。意図的でなくても(サードパーティベンダーが騙されてマルウェアを起動させるなど)、悪意がある場合でも(不満を抱いた従業員が復讐に燃えるなど)、内部関係者は脅威となり得ます。Verizon社のレポート(リンク先は、ibm.comの外部です)によると、外部からの脅威が平均して2億件程度のレコードを危険にさらすのに対して、内部の脅威アクターが関与する脅威は10億件ものレコードを暴露している。
中間者攻撃では、サイバー犯罪者がネットワーク接続を盗聴し、二者間のメッセージを傍受、中継してデータを盗みます。セキュリティーで保護されていないWi-Fiネットワークは、中間者攻撃を仕掛けるハッカーの格好の狩場です。
サイバーセキュリティー脅威の残忍さと複雑さが増し続ける中、組織はさまざまなセキュリティー・システム、プログラム、テクノロジーを組み合わせたITセキュリティー戦略を展開しています。
経験豊富なセキュリティーチームによって監督されるこれらのITセキュリティーの実践とテクノロジーは、組織のITインフラストラクチャー全体を保護し、既知および未知のサイバー攻撃の影響を回避、軽減するのに役立ちます。
フィッシング攻撃などの多くのサイバー攻撃は、人間の脆弱性を悪用するため、従業員のトレーニングは内部関係者の脅威に対する重要な対策となっています。
セキュリティ意識向上トレーニングでは、従業員にセキュリティーの脅威を認識し、職場で安全な習慣を身に付けてもらうよう指導します。トレーニングで取り上げられるトピックには、フィッシングへの意識、パスワード・セキュリティー、定期的なソフトウェア・アップデート実行の重要性、顧客のデータやその他の機密情報を保護する方法などのプライバシーに関する問題が含まれます。
多要素認証は、ユーザー名とパスワードに加えて、1つ以上の認証情報を求めます。多要素認証を導入することで、ハッカーが正規ユーザーのユーザー名とパスワードを盗んだり、入手できたとしても、ネットワーク上のアプリケーションやデータにアクセスすることを防ぐことができます。多要素認証は、Single Sign On使用する組織にとって重要です。これにより、ユーザーはセッションに一度ログインすると、そのセッション中に再度ログインすることなく複数の関連アプリケーションやサービスにアクセスできるようになります。
インシデント対応(サイバーセキュリティー・インシデント・レスポンスと呼ばれることもあります)は、サイバー脅威、セキュリティー侵害、サイバー攻撃を検知し、対応するための組織のプロセスとテクノロジーを指します。インシデント対応の目標は、サイバー攻撃を事前に防止し、サイバー攻撃によるコストとビジネスの中断を最小限に抑えることです。
多くの組織は、さまざまな種類のサイバー攻撃を特定し、封じ込め、解決するためのプロセスとセキュリティー・ソフトウェア(下記参照)を定めた正式なインシデント対応計画(IRP)を作成しています。「Cost of a Data Breach 2003」レポートによると、正式なインシデント対応計画を作成し、定期的にテストしている組織では、データ侵害のコストは平均(445万米ドル)より232,008米ドル低くなっていました。
単一のセキュリティー・ツールだけでは、サイバー攻撃を完全に防ぐことはできません。それでも、サイバーリスクを軽減し、サイバー攻撃を防止し、攻撃が発生した場合の被害を最小限に抑えるために、複数のツールが役立ちます。
サイバー攻撃の検知と回避に役立つ、一般的なセキュリティー・ソフトウェアには次があります。
AIベースのフィッシング対策ソフトウェア、スパム・フィルター、セキュアなEメール・ゲートウェイなどのEメール・セキュリティ・ツール。
ウイルス対策ソフトウェアは、攻撃者がネットワーク・セキュリティーをターゲットにして、調査、会話の盗聴、Eメール・アカウントの乗っ取りを行うために使用する可能性がある、スパイウェアやマルウェアを無力化できます。
システムやソフトウェアのパッチは、スピア・フィッシングによって一般的に悪用される技術的な脆弱性を解決できます。
セキュアなWebゲートウェイやその他のWebィルタリング・ツールは、フィッシング・メールにリンクされている悪意のあるWebサイトをブロックできます。
脅威の検知と対応ソリューションは、分析、人工知能(AI)、自動化を活用して、セキュリティーチームが既知の脅威や疑わしいアクティビティを検出し、脅威を排除したり、その影響を最小限に抑えるのに役立ちます。これらのテクノロジーには、セキュリティー・オーケストレーション、自動化および対応(SOAR)、 セキュリティー・インシデントおよびイベント管理(SIEM)、 エンドポイント検知および対応(EDR)、 ネットワーク検知および対応(NDR)、 拡張検知および対応(XDR)が含まれます。
「オフェンシブ・セキュリティー(OffSec)」とは、敵対的な戦術(悪意のある攻撃者が実際の攻撃で使用するのと同じ手口)を使用して、ネットワーク・セキュリティーを侵害するのではなく、強化するためのプロアクティブなセキュリティー戦略を指します。
オフェンシブ・セキュリティー・オペレーションは、多くの場合、倫理的ハッカー 、つまりITシステムの欠陥を発見・修正するためにハッキング・スキルを駆使するサイバーセキュリティーの専門家によって実行されます。一般的なオフェンシブ・セキュリティーの手法には、次があります。
脆弱性スキャン:サイバー犯罪者が組織のITインフラストラクチャーおよびアプリケーションにおいて、悪用可能なセキュリティ上の欠陥や弱点を検知・特定するために使用するものと同じツールを使用します。
ペネトレーションテスト:模擬的なサイバー攻撃を行い、コンピューターシステムの脆弱性や脆弱性、対応ワークフロー、ユーザーのセキュリティー意識を明らかにします。Payment Card Industry Data Security Standard(PCI-DSS)などの一部のデータ・プライバシー規制では、コンプライアンスの要件として定期的なペネトレーションテストの実施が規定されています。
レッドチーム化:倫理的なハッカーのチームに、組織に対してシミュレートされた目標指向のサイバー攻撃を開始する権限を与えます。
オフェンシブ・セキュリティーは、セキュリティ・ソフトウェアやその他のディフェンシブ・セキュリティ対策を補完するものであり、他のセキュリティ対策では見逃してしまうような未知のサイバー攻撃経路(ベクター)を発見し、セキュリティーチームがディフェンシブ・セキュリティ対策を強化するために活用できる情報を提供します。
重要な重複があるため、「ITセキュリティー」、「情報セキュリティー」、および「サイバーセキュリティー」という用語は、しばしば(そして誤って)同じ意味で使用されます。主に、その範囲が異なります。
人間の操作をほとんど必要としない使いやすいインテリジェントな自動化により、エンドポイントをサイバー攻撃から守り、異常な動作を検出し、ほぼリアルタイムで修復します。
実績のあるセキュリティー専門知識と、侵入検知と防御、エンドポイント・セキュリティー管理などの最新ソリューションを利用して、高度なサイバーセキュリティーの脅威からインフラストラクチャーとネットワークを保護します。
未知の脅威もインテリジェントに認識し、リアルタイムに防御するように適応する次世代ネットワーク・セキュリティー・ソリューションを使用して、高度な脅威やマルウェアからネットワーク全体を保護します。
データ侵害の原因や、コストを増減させる要因を理解することが、侵害に対する備えを強化するために重要です。データ侵害に見舞われた550以上の組織の経験から学ぶことができます。
SIEM (セキュリティ情報およびイベント管理) は、組織が業務に支障をきたす前に、潜在的なセキュリティ上の脅威や脆弱性を認識し、対処できるようにするソフトウェアです。
脅威に打ち勝つための脅威を知る - 脅威アクターがどのように攻撃を仕掛けているか、そして組織をプロアクティブに保護する方法を理解するのに役立つ実用的な洞察を提供します。
1サイバーセキュリティーの支出は、2026年までに2,600億ドルを超えるペースで増加(リンク先は、ibm.com の外部です)、Cybersecurity Dive、2022年10月16日